Planowanie pojemności wdrożenia Microsoft Defender for Identity
W tym artykule opisano sposób używania narzędzia do ustalania rozmiaru Microsoft Defender for Identity w celu określenia, czy serwery kontrolera domeny mają wystarczającą ilość zasobów dla czujnika Microsoft Defender for Identity.
Chociaż wydajność kontrolera domeny może nie mieć wpływu, jeśli serwer nie ma wymaganych zasobów, czujnik usługi Defender for Identity może nie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity wymagania wstępne.
Narzędzie do określania rozmiaru mierzy pojemność wymaganą tylko dla kontrolerów domeny. Nie ma potrzeby uruchamiania go na serwerach usług AD FS/AD CS/Entra Connect, ponieważ wpływ na wydajność tych serwerów jest bardzo minimalny, aby nie istniał.
Porada
Domyślnie usługa Defender for Identity obsługuje maksymalnie 350 czujników. Aby zainstalować więcej czujników, skontaktuj się z pomocą techniczną usługi Defender for Identity.
Wymagania wstępne
- Pobierz narzędzie do określania rozmiaru usługi Defender for Identity.
- Zapoznaj się z artykułem dotyczącym architektury usługi Defender for Identity .
- Zapoznaj się z artykułem Defender for Identity prerequisites (Wymagania wstępne usługi Defender for Identity ).
Aby zapewnić dokładne wyniki, uruchom narzędzie do ustalania rozmiaru tylko przed zainstalowaniem czujników usługi Defender for Identity w danym środowisku.
Korzystanie z narzędzia do określania rozmiaru
Uruchom narzędzie do określania rozmiaru usługi Defender for Identity ,TriSizingTool.exe, z pobranego pliku zip.
Po zakończeniu działania narzędzia otwórz wyniki pliku programu Excel.
W pliku programu Excel znajdź i wybierz arkusz Podsumowanie usługi Azure ATP , a następnie sprawdź kolumnę Obsługiwane przez czujnik , aby uzyskać wyniki wskazujące, czy serwer jest obsługiwany.
Przykład:
Uwaga
Drugi arkusz w pliku jest używany do planowania usługi Advanced Threat Analytics (ATA) i nie jest potrzebny dla usługi Defender for Identity.
Narzędzie do ustalania rozmiaru określa, czy serwer jest obsługiwany na podstawie wartości Zajęte pakiety/sekunda , która jest obliczana na podstawie 15 najbardziej ruchliwych minut w okresie 24 godzin.
Typowe wyniki obejmują:
| Result (Wynik) | Opis |
|---|---|
| Tak | Czujnik jest obsługiwany na serwerze. |
| Tak, ale wymagane są dodatkowe zasoby | Czujnik jest obsługiwany na serwerze, o ile dodasz wszystkie określone brakujące zasoby. |
| Może | Bieżąca wartość pakietów zajętych/s może być w tym momencie znacznie wyższa niż średnia. Sprawdź sygnatury czasowe, aby zrozumieć procesy uruchomione w tym czasie oraz czy można ograniczyć przepustowość tych procesów w normalnych warunkach. |
| Może, ale wymagane są dodatkowe zasoby | Czujnik może być obsługiwany na serwerze, o ile dodasz wszystkie określone brakujące zasoby lub pakiety zajęte na sekundę mogą przekraczać 60 000. |
| Nie | Czujnik nie jest obsługiwany na serwerze. Bieżąca wartość pakietów zajętych/s może być w tym momencie znacznie wyższa niż średnia. Sprawdź sygnatury czasowe, aby zrozumieć procesy uruchomione w tym czasie oraz czy można ograniczyć przepustowość tych procesów w normalnych warunkach. |
| Brak danych systemu operacyjnego | Wystąpił problem podczas odczytywania danych systemu operacyjnego. Upewnij się, że połączenie z serwerem może zdalnie wykonywać zapytania dotyczące usługi WMI. |
| Brak danych ruchu | Wystąpił problem podczas odczytywania danych ruchu. Upewnij się, że połączenie z serwerem może zdalnie wykonywać zapytania dotyczące liczników wydajności. |
| Brak danych pamięci RAM | Wystąpił problem podczas odczytywania danych pamięci RAM. Upewnij się, że połączenie z serwerem może zdalnie wykonywać zapytania dotyczące usługi WMI. |
| Brak danych podstawowych | Wystąpił problem podczas odczytywania podstawowych danych. Upewnij się, że połączenie z serwerem może zdalnie wykonywać zapytania dotyczące usługi WMI. |
Na przykład na poniższej ilustracji przedstawiono zestaw wyników, w których wartość Może wskazuje, że wartość Busy Packets/s jest w tym momencie znacznie wyższa niż średnia. Zwróć uwagę, że czas wyświetlania kontrolera domeny w formacie UTC/Local jest ustawiony na lokalny czas kontrolera domeny. To ustawienie pomaga podkreślić fakt, że wartości zostały pobrane około godziny 3:30.
Szacowany rozmiar czujnika usługi Defender for Identity
W poniższej tabeli przedstawiono szacowaną pojemność procesora CPU i pamięci RAM potrzebną dla czujnika usługi Defender for Identity na podstawie typowego ruchu sieciowego generowanego przez kontroler domeny.
Ta tabela jest oszacowaniem. Ostateczna ilość analizowana przez czujnik zależy od ilości ruchu i rozkładu ruchu.
| Pakiety zajęte /sekunda | Procesor CPU (rdzenie fizyczne) | Pamięć RAM (GB) |
|---|---|---|
| 0–1 tys. | 0.25 | 2.50 |
| 1k-5 tys. | 0.75 | 6.00 |
| 5k-10 tys. | 1.00 | 6.50 |
| 10k–20 tys. | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
W tej tabeli:
Pojemność procesora CPU i pamięci RAM odnosi się do własnego użycia czujnika, a nie do pojemności kontrolera domeny.
Pojemność procesora CPU nie obejmuje rdzeni hiperwątkowych. Zalecamy, aby nie pracować z rdzeniami hiperwątkowymi, co może powodować problemy zdrowotne w czujniku usługi Defender for Identity.
Podczas określania rozmiaru należy pamiętać o całkowitej liczbie rdzeni i całkowitej ilości pamięci, która będzie używana przez usługę czujnika.
Aby uzyskać więcej informacji, zobacz Ograniczenia zasobów.
Ręczne szacowanie rozmiaru kontrolerów domeny
Jeśli nie możesz użyć narzędzia do ustalania rozmiaru, możesz ręcznie oszacować, czy serwery kontrolera domeny mają wystarczającą ilość zasobów dla czujnika usługi Defender for Identity.
Ręcznie zbierz informacje licznika pakietów/sekund ze wszystkich kontrolerów domeny w ciągu 24 godzin z niskim interwałem zbierania, takim jak 5 sekund. Dla każdego kontrolera domeny oblicz średnią dzienną i najbardziej ruchliwy okres (15 minut).
Różne narzędzia mogą pomóc w odnalezieniu średniego licznika pakietów/sekund dla kontrolera domeny. W tej procedurze opisano przykład sposobu korzystania z monitor wydajności w celu zebrania odpowiednich informacji.
Otwórz monitor wydajności i rozwiń węzeł Zestawy modułów zbierających dane.
Kliknij prawym przyciskiem myszy pozycję Zdefiniowane przez użytkownika i wybierz pozycję Nowy > zestaw modułów zbierających dane.
Wprowadź znaczącą nazwę zestawu modułów zbierających i wybierz pozycję Utwórz ręcznie (zaawansowane).
W obszarze Jakiego typu dane chcesz uwzględnić?, wybierz pozycję Utwórz dzienniki danych i licznik wydajności.
Rozwiń węzeł Karta sieciowa , a następnie wybierz pozycję Pakiety/s i odpowiedni obszar roboczy. Jeśli nie masz pewności, który obszar roboczy wybrać, wybierz pozycję <Wszystkie obszary robocze>. Wybierz pozycję Dodaj>OK , aby ukończyć ten krok.
Alternatywnie, jeśli wykonujesz ten krok z wiersza polecenia, uruchom polecenie
ipconfig /all, aby wyświetlić nazwę i konfigurację karty.Zmień interwał próbkowania na pięć sekund i zdefiniuj miejsce, w którym mają zostać zapisane dane.
W obszarze Tworzenie zestawu modułów zbierających dane wybierz pozycję Uruchom ten zestaw modułów zbierających dane teraz>Zakończ.
Powinien zostać wyświetlony utworzony zestaw modułów zbierających dane z zielonym trójkątem wskazującym, że działa.
Po 24 godzinach zatrzymaj zestaw modułów zbierających dane. Kliknij prawym przyciskiem myszy zestaw modułu zbierającego dane i wybierz pozycję Zatrzymaj.
W Eksplorator plików przejdź do folderu, w którym zapisano plik blg. Kliknij go dwukrotnie, aby otworzyć go w monitor wydajności.
Wybierz licznik Pakiety/s i zarejestruj wartości średnie i maksymalne.
Uwaga
Domyślnie usługa Defender for Identity obsługuje maksymalnie 350 czujników. Jeśli chcesz zainstalować więcej czujników, skontaktuj się z pomocą techniczną usługi Defender for Identity.